عامل بزرگ‌ترین حملات مجازی اخیر شناسایی شد

 
بات‌نت جدیدی متشکل از ۲۵۰ هزار دستگاه آلوده به بدافزار، از طریق روترهای میکروتیک، مسبب بزرگترین حملات DDOS اخیر در دنیا و ایران است و کاربران تجهیزات میکروتیک لازم است جهت پیشگیری از وقوع حملات احتمالی این نوع بات‌نت در آینده، هرچه سریع‌تر نسبت به انجام دستورالعمل‌های امنیتی اقدام کنند.
 
 بارها اتفاق افتاده که برخی از وب‌سایت‌ها بر اثر حملات منع سرویس توزیع‌شده (DDOS) از دسترس خارج شوند. حملات دیداس به نحوی رخ می‌دهد که فرد مهاجم که قصد حمله به سرویسی را دارد، ترافیک بسیاری را که عمدتاً حاوی تقاضای کاذب است، روی یک سایت یا سرور می‌فرستد و باعث می‌شود آن سرویس‌دهنده دیگر نتواند جواب دهد و از کار بیفتد و یا از دسترس خارج شود.
 
در حالی که حملات دیداس خدمات را برای شرکت‌های بزرگ و افراد به‌طور یکسان مختل می‌کند، ISP‌ها در مقابل حملات با چالش‌های بیشتری روبه‌رو می‌شوند تا ترافیک‌های غیر قابل کشف و غیرطبیعی را مهار کنند. به گفته محققان حملات دیداس بدون سروصدا کار می‌کنند. محققان افزایش حملات دیداس را به همه‌گیری ویروس کرونا نسبت می‌دهند، زیرا مصرف‌کنندگان به خدمات آنلاین وابسته می‌شوند و کار از خانه به عنوان یک امر عادی جدید در جهت تلاش برای جلوگیری از شیوع این بیماری است.
 
به این دلیل که کار کردن از راه دور تبدیل به یک استاندارد جدید شده است و استفاده اینترنت خانگی در این ایام بیشتر شده، اقدامات امنیتی مناسب برای کاهش این حملات برای ISP‌ها یک امر مهم است. حملات دیداس، چه از طریق ورودی و چه از طریق خروجی‌ها، تهدیدی برای این استاندارد کار جدید است که هیچ یک از کاربران خانگی قادر نخواهند بود به‌طور مؤثر از آن جلوگیری و آن را شناسایی کنند. به همین دلیل ISP‌ها برای حفظ کیفیت اتصال به شبکه خود باید از اقدامات محافظتی استفاده کنند.
 
استفاده از آسیب‌پذیری قدیمی روترهای میکروتیک برای انجام حملات گسترده DDOS
 
بات‌نت جدید Meris متشکل از ۲۵۰ هزار دستگاه آلوده به بدافزار، مسبب بزرگترین حملات DDOS اخیر در دنیا و از طریق روترهای میکروتیک بوده‌ است. حملات هفته گذشته این بات‌نت، رکورد بزرگترین حملات حجمی DDOS را شکست. بنابر اطلاعیه شرکت میکروتیک که مرکز ماهر (مدیریت امداد و هماهنگی رخدادهای رایانه‌ای) به آن اشاره کرده، این مساله با استفاده از آسیب‌پذیری روترهای قدیمی میکروتیک مربوط به سال ۲۰۱۸ بوده است.
 
از آنجایی‌که تعدادی از آدرس‌های IP مورد سوءاستفاده در این حمله متعلق به کشور ایران است، کلیه کاربران تجهیزات میکروتیک جهت پیشگیری از وقوع حملات احتمالی این نوع بات‌نت در آینده، باید هرچه سریع‌تر نسبت به انجام دستورالعمل‌های امنیتی اقدام کنند. دستگاه میکروتیک خود را به‌طور منظم به‌روز کرده و به‌روز نگه دارید؛ دسترسی به دستگاه از طریق اینترنت را محدود کنید، به‌طوری‌که امکان دسترسی به دستگاه به‌طور عمومی از طریق اینترنت وجود نداشته باشد؛ اگر نیاز به دسترسی از راه دور به دستگاه دارید فقط از طریق سرویس‌های VPN امن مانند IPsec این امکان را فراهم کنید.
 
همچنین لازم است از رمز عبور قوی استفاده کنید و آن را مرتباً تغییر دهید؛ تصور نکنید که شبکه محلی (local) یک شبکه امن است، چراکه اگر روتر شما توسط رمز عبور محافظت نشود و یا رمز عبور ضعیفی داشته باشد، بدافزار قادر است به شبکه محلی شما هم نفوذ کند. همچنین پیکربندی سسیتم‌عامل روتر (RouterOS) را برای یافتن تنظیمات ناشناخته بررسی کنید. 
 
بدافزاری وجود دارد که سعی می‌کند دستگاه میکروتیک را از طریق رایانه‌ی ویندوزی موجود در شبکه داخلی شما مجدداً پیکربندی کند؛ به همین دلیل بسیار مهم است که دستگاه‌های خود را با رمز عبور قوی محافظت کنید تا از حملات dictionary و نفوذ بدافزار جلوگیری شود. همچنین این بدافزار سعی می‌کند با بهره‌برداری از آسیب‌پذیری‌های موجود در نسخه‌های مختلف دستگاه به آن نفوذ کند (به‌عنوان‌مثال آسیب‌پذیری CVE-2018-14847 که مدت‌ها است وصله شده)؛ به همین دلیل به‌روز کردن دستگاه میکروتیک به آخرین نسخه و ارتقای نسخه‌ی آن به صورت منظم اکیداً توصیه می‌شود.
 

نوکیا: ترافیک اینترنت رو به کاهش اما حملات DDoS افزایش یافته است

ICTna- نوکیا در آخرین گزارش خود از وضعیت ترافیک اینترنت در طول شیوع ویروس کرونا اعلام کرد به نظر می رسد شبکه ها به شدت در برابر فشارهای وارده مقاومت کرده اند و ترافیک مصرفی به تدریج رو به کاهش اما حملات DDoS رو به افزایش است.
 
به گزارش گروه اخبار خارجی آژانس خبری فناوری اطلاعات و ارتباطات (ایستنا)، درحالی که اپراتورهای مخابراتی در این زمان با چالش های جدیدی مواجه شده اند، بخش تاریک وب هنوز هم در جستجوی حتی کوچکترین فرصت ها برای اهداف خرابکارانه خود است.
کریگ لابوویتز، مدیر ارشد فناوری نوکیا در این باره توضیح داده است: ما متوجه افزایش تدریجی حجم ترافیک DDoS در حدود 40 درصد روی شبکه شده ایم. این افزایش می تواند با رشد معنادار حملات DDoS مرتبط با بازی ها در ارتباط باشد و به بررسی های خود روی این مساله ادامه خواهیم داد.
ترافیک DDoS یک ترافیک مخرب است. ابزار جرایم سایبری است و یکی از قدیمی ترین ترفندهای قدیمی در کتاب ها است اما هنوز بخاطر موثر بودنش خیلی محبوب است و هدف آن کاهش کارآیی یا قطع کردن ارایه خدمات است.
یکی از مثال های این حملات اخیر که توسط تحقیقات و آزمایش های بیت دیفندر کشف شده است، Dark_Nexus نام دارد و هدف اصلی آن دستگاه های IoT هستند. در همین حال این کد از دسامبر 2019 تا مارس 2020 بیش از 40 به روزرسانی داشته و توسط یونانی ها نیز طراحی شده است.
نوکیا همچنین تایید کرده که رشد ترافیک در اروپا رو به کاهش و رسیدن به ثبات است چراکه ترس ها و نگرانی ها تقریبا کمتر شده است.
ترافیک اینترنت از زمان شیوع ویروس کرونا و ترغیب مردم به قرنطینه موجب افزایش 45 درصدی رشد ترافیک اینترنت در اروپا شده بود و در طول آخر هفته ها به همین عدد 20 درصد دیگر نیز افزوده می شد.
 

ویکی‌پدیا هدف حمله DDoS قرار گرفت

 
ویکی‌پدیا بزرگترین دانشنامه اینترنتی جهان مورد حمله DDoS قرار گرفته است. به گزارش فوربس این حمله باعث شده تا این دانشنامه اینترنتی در بسیاری از کشورها آفلاین شود. 
 
ویکی‌پدیا روز جمعه هفته گذشته (ششم دسامبر) تایید کرده که مورد حمله‌ای‌ واقع شده که این وب‌سایت را در برخی کشورها از دسترس خارج کرده است. به نظر می‌رسد در روز جمعه، این وب‌سایت در کشورهای بریتانیا،فرانسه، آلمان، ایتالیا، هلند، لهستان و بخش‌هایی از خاورمیانه، غیرقابل دسترس بوده است. براساس گزارش‌ها امکان دسترسی به ویکی‌پدیا در برخی از این مناطق حل شده اما همچنان کاربران در مناطق دیگر با مشکل امکان دسترسی به این سایت را دارند.
 
حساب توییتر ویکی‌پدیا در آلمان توییت کرد که سرور ویکی‌مدیا (Wikimedia) که میزبان ویکی‌پدیا است، به دلیل حمله گسترده DDoS از کار افتاده است.
 
به دنبال این اتفاق هم بنیاد ویکی‌پدیا یک بیانیه رسمی منتشر کرده است. در بیانیه رسمی بنیاد ویکی‌مدیا با اشاره به افزایش این نوع تهدیدها در فضای آنلاین که رفته‌رفته پیچیده‌تر می‌شود، این حملات را محکوم کرده است. سخنگوی ویکی‌پدیا در بیانیه‌ای اعلام کرد: «حمله ادامه دارد و تیم مهندسان ما به‌سختی کار می‌کنند تا جلوی آن را بگیرند و دسترسی به سایت را فراهم آورند».
 
ویکی‌پدیا بزرگ‌ترین منبع دانش عمومی انسان روی کره زمین و هفتمین وب‌سایت پرطرفدار جهان است که بیش از یک میلیارد دستگاه در هر ماه از آن استفاده می‌کنند. 
 
DDoS مخفف Distributed Denial of Service است و زمانی رخ می‌دهد که حجم زیادی از تقاضای کاذب، عمدا به‌سمت سرور هدف روانه شود تا آن سرور از کار بیفتد. در این نوع حمله سرور مورد هدف با تقاضاهای فراوان روبه‌رو می‌شود، اما نه از یک منبع مشخص، بلکه از مکان‌های مختلف به او حمله می‌شود.

ترافیک کاذب اینترنتی دردسر آفرین شد

اثر حملات دیداس، ارسال ترافیک کاذب بسیاری به سرور و از کار انداختن آن است؛ اتفاقی که اخیراً برای برخی از کسب‌وکارهای ایرانی رخ داده و بهترین راه جلوگیری از آن، استفاده از سرویس‌های امنیتی و به‌روز نگه داشتن آن‌هاست.
بارها اتفاق افتاده که برخی از وب‌سایت‌ها بر اثر حملات منع سرویس توزیع‌شده (DDOS) از دسترس خارج شوند. حملات دیداس به نحوی رخ می‌دهد که فرد مهاجم که قصد حمله به سرویسی را دارد، ترافیک بسیاری را که عمدتاً حاوی تقاضای کاذب است، روی یک سایت یا سرور می‌فرستد و باعث می‌شود آن سرویس‌دهنده دیگر نتواند جواب دهد و از کار بیفتد و یا از دسترس خارج شود.
 
در این باره، امیر صفری فروشانی - کارشناس نرم‌افزارهای امنیتی حوزه فناوری اطلاعات - با بیان این‌که انجام حملات دیداس کار سختی نیست، به ایسنا گفت: هر آلودگی می‌تواند باعث حملات دیداس شود. حملات APT یا تهدید پیشرفته مستمر (Advanced persistent threat) که راهی برای به‌دست آوردن اطلاعات افراد است، یا حملاتی که از طرف بات‌نت‌ها اتفاق افتاده و موجب آلوده شدن شبکه می‌شوند و می‌تواند برای ایجاد حملات دیداس نیز استفاده شوند.
 
وی در پاسخ به این‌که آیا نصب برخی اپلیکیشن‌ها و دسترسی‌های آن‌ها به تجهیزات کاربران، می‌تواند به آلودگی منجر شود، گفت: این هم می‌تواند یکی از دلایل باشد؛ اما خود کاربر باید خیلی موارد را رعایت کند، این‌که هر اپلیکیشنی را نصب نکند و آنتی‌ویروس معتبر داشته باشد. اما کسب‌وکارها هم باید سرویس‌های امنیتی خود را داشته باشند، از جمله سرویس‌های آنتی‌دیداس که دچار مشکل خاص نشوند.
 
خطری که نسخه‌های غیررسمی دارند
 
این کارشناس نرم‌افزارهای امنیتی هم‌چنین اظهار کرد: اکثر کاربران نسخه‌های غیررسمی و غیراصل تلگرام را استفاده می‌کنند که امنیت پایین‌تری دارند و کسی که نرم‌افزار را نوشته، دستش باز است و می‌تواند هر پیام یا فایلی را از سمت کاربر بفرستد و یا اقدامات دیگری انجام دهد. بنابراین برخی از حملاتی که به کاربران می‌شود، به این خاطر است که با هدف استفاده از تلگرام ضدفیلتر، نسخه‌هایی مانند تلگرام ایکس فیک را نصب می‌کنند که این بلا هم سرشان می‌آید.
 
صفری با اشاره به لزوم جدی دانستن امنیت دستگاه‌ها توسط کاربران توضیح داد: متأسفانه بخش زیادی از کاربران درباره تأمین امنیت خود در فضای مجازی دچار سهل‌انگاری هستند و از طرفی بلد نیستند چگونه دستگاه‌های خود را ایمن کنند و بسیاری هم اطلاعات و باورهای نادرستی درباره مسائل امنیت سایبری دارند. البته در حال حاضر افراد بسیار کمی هستند که آنتی‌ویروس استفاده نکنند، اما بخش زیادی از کسانی که استفاده می‌کنند یا از نسخه‌های فیک استفاده می‌کنند، یا از محصولات رایگان که حفاظت درست ندارد و این یک معضل جدی است.
 
وی ادامه داد: هم‌چنین بسیاری از افراد آنتی‌ویروس، سیستم عامل و یا اپلیکیشن‌هایشان را آپدیت نمی‌کنند. مثلاً شنیدند که اگر ویندوز را آپدیت کنی، دستگاه سنگین می‌شود. درواقع یک سری باورهای اشتباه وجود دارد و برخی از این باورها هم توسط کسانی است که تعمیرکار کامپیوتر و یا نصاب اینترنت هستند و اصطلاح متخصص را به دوش می‌کشند، اما نظریات اشتباه می‌دهند. این افراد آنتی‌ویروس فیک نصب می‌کنند که خودشان به نوعی ویروس و تهدید سایبری محسوب می‌شود، زیرا برایشان سود دارد و به کاربر هم می‌گویند ویندوزش را آپدیت نکند، چون سنگین می‌شود.

ناظمی: تعداد IPهای استفاده شده داخلی برای حملات DDoS بسیار بالاست

روز گذشته در گزارش مفصلی و در گفت‌وگو با کارشناسان و مدیران زرین‌پال و علی‌بابا، از حمله گسترده DDoS به کسب و کارهای داخلی نوشتیم. اما تفاوت این حمله با حملات پیشین این بود که نه تنها منشا داخلی داشت که برای این حملات از تعداد بسیار زیادی از IPهای ایرانی استفاده می‌شد. معنی این حرف این است که بخش مهمی از دستگاه‌های موبایل و کامپیوتر ایرانی‌ها براثر نصب یک بدافزار، آلوده شده و تبدیل به زامبی‌هایی شده‌اند که با دستور یک گروه هکری، برای حمله به کسب و کارها، یا در آینده هر هدف دیگری، می‌توانند استفاده شوند.
 
در آن گزارش و براساس تحلیل کارشناسان نتیجه گرفتیم که تنها برنامه‌ای که اخیرا و به طور گسترده در موبایل‌ها و کامپیوترهای ایرانی ها نصب شده، ابزارهای دورزدن فیلترینگ تلگرام از قبیل فیلترشکن‌ها و پوسته‌های فارسی بوده است. در این گزارش امیر ناظمی رییس سازمان فناوری اطلاعات این نتیجه‌گیری را رد نمی‌کند اما با این حال می‌گوید مرکز ماهر در حال بررسی‌های بیشتر است. از سوی دیگر سجاد بنابی عضو هیات مدیره شرکت زیرساخت می‌گوید در حالی که روی Gateway اینترنت بین‌الملل سرویس DDoS Protection نصب شده اما چنین سرویسی روی شبکه ملی اطلاعات وجود ندارد تا بخش خصوصی بتواند در این حوزه فعال شود.
 
دستگاه‌های ایرانی زامبی شدند
امیر ناظمی معاون وزیر ارتباطات و رییس سازمان فناوری اطلاعات می‌گوید نوع و حجم حملات DDoS نسبت به گذشته در حملات اخیر تغییر کرده است. وی به خبرنگار فناوران گفت: فرضیه نخست در ابتدا این بود که حملات DDoS مثل سایر حملاتی که معمول است، به صورت هدفمند به یک کسب و کار صورت می‌گیرد. این حملات معمولا از یک رنج IP و از خارج از مشور انجام می‌گیرد.
 
وی ادامه داد: اما از آنجا که تعداد IPهای استفاده شده برای حملات DDoS بسیار زیاد است فرضه دوم و ظن قوی‌تر ما این است که بر اثر آلودگی ایجاد شده توسط یک اپلیکیشن، موبایل‌ها و کامپیوترهایی تبدیل به زامبی شده و به کسب و کارها حمله می‌کنند.
 
ناظمی در پاسخ به این سوال که ممکن است این بدافزار به عنوان فیلترشکن یا پوسته‌های فارسی تلگرام به صورت گسترده در موبایل‌ها و کامپیوترها توزیع شده باشند گفت: بله این موضوع یکی از احتمالات است ولی در حال بررسی‌های بیشتر و آماده کردن گزارشات تکمیلی هستیم.
 
رییس سازمان فناوری اطلاعات با بیان این که تاکنون دو کسب و کار به طور جدی مورد حمله قرار گرفته‌اند گفت: حدس زدیم که برخی دیگر از کسب و کارها به عنوان مقاصد بعدی مورد حمله قرار بگیرند و در این خصوص پیشگیری‌های لازم را انجام داده‌ایم.
 
وی در پاسخ به این سوال که چقدر این پیشگیری می‌تواند موثر باشد گفت: به هر حال این موضوعات به شبکه فشار می‌آرود و فعلا کنترل شده است. در هفته‌های گذشته نیز ما برای این که تشنجی در جامعه به وجود نیاید از رسانه‌ای کردن موضوع خودداری کردیم و خوشبختانه اکنون با شرایط بهتری به مقابله با این حملات پرداخته‌ایم.
 
معاون وزیر ارتباطات با بیان این که کسب و کارهایی که هدف قراره گرفتند کسب و کارهای بزرگی بوده و خوشبختانه با روال معمول امنیتی آشنا بودند گفت: هرکدام از کسب و کارهایی که مورد هدف قرار گرفتند فورا موضوع را به مرکز ماهر اعلام کنند. خوشبختانه با هماهنگی‌هایی که تا امروز صورت گرفته، این حملات مدیریت شده و حداقل کاربران چندان متوجه آن نشده‌اند.
 
ناظمی در پاسخ به این سوال که به نظر می‌رسد چه تعداد دستگاه کاربران ایرانی تبدیل به زامبی شده‌اند گفت: تعداد رنج IPها بسیار بالاست و از آنجا که بیشترین IPها متعلق به اپراتورهای موبایل است، به نظر می‌رسد این آلودگی از طریق یک اپلیکیشن روی موبایل صورت گرفته است.
 
بخش خصوصی سرویس DDoS Protection بدهد
سجاد بنابی عضو هیات مدیره شرکت زیرساخت در پاسخ به فناوران درباره این که آیا سرویس‌ DDoS Protection روی اینترنت ایران فعال است توضیح داد: بله براساس قانون روی Gateway اینترنت بین‌الملل این سرویس وجود دارد. علاوه بر این لینک‌هایی وجود دارد که از حفاظت بهتری برخوردارند و در هنگام حمله اخیر نیز با جابه‌جایی لینک‌ها، جلو حملات DDoS از خارج از کشور را گرفتیم.
 
وی با بیان این که در حملات اخیر تنها 24 ساعت حمله از خارج از کشور صورت گرفته و مابقی منشا داخلی دارد گفت: زیرساخت آمادگی این را دارد که روی شبکه ملی اطلاعات نیز سرویس DDoS Protection را راه‌اندازی کند. در داخل کشور عملا یک کسب و کار است و برخی FCPها هم همین الان اینترنت Protected با تعرفه گران‌تر از اینترنت معمولی ارایه می‌دهند. زیرساخت برای این که با بخش خصوصی رقابت نکند وارد حوزه Protection داخلی نشده است.
 
بنابی ادامه داد: اگر حاکمیت تشخیص دهد بخش خصوصی توان فعالیت در حوزه DDoS Protection را ندارد شرکت زیرساخت آماده سرمایه‌گذاری در این حوزه را دارد. ولی تا امروز حاکمیت چنین نظری را نداشته و ما هم تا امروز ابا داشتیم این پیشنهاد را بدهیم، چرا که DDoS Protection تجارت سودآوری است.
 
عضو هیات مدیره شرکت زیرساخت در پاسخ به این سوال که با توجه به این که گفته می‌شود بیشتر حملات از IPهای اپراتورها بوده آیا می‌توان نتیجه گرفت که دستگاه‌های آلوده شده روی شبکه موبایل هستند گفت: بیشتر پهنای باند کشور با توجه به کیفیت اینترنت موبایل، روی این شبکه است و خیلی‌ها در خانه‌شان از سیم‌کارت برای دسترسی به اینترنت استفاده می‌کنند.

ناظمی: تعداد IPهای استفاده شده داخلی برای حملات DDoS بسیار بالاست

روز گذشته در گزارش مفصلی و در گفت‌وگو با کارشناسان و مدیران زرین‌پال و علی‌بابا، از حمله گسترده DDoS به کسب و کارهای داخلی نوشتیم. اما تفاوت این حمله با حملات پیشین این بود که نه تنها منشا داخلی داشت که برای این حملات از تعداد بسیار زیادی از IPهای ایرانی استفاده می‌شد. معنی این حرف این است که بخش مهمی از دستگاه‌های موبایل و کامپیوتر ایرانی‌ها براثر نصب یک بدافزار، آلوده شده و تبدیل به زامبی‌هایی شده‌اند که با دستور یک گروه هکری، برای حمله به کسب و کارها، یا در آینده هر هدف دیگری، می‌توانند استفاده شوند.
 
در آن گزارش و براساس تحلیل کارشناسان نتیجه گرفتیم که تنها برنامه‌ای که اخیرا و به طور گسترده در موبایل‌ها و کامپیوترهای ایرانی ها نصب شده، ابزارهای دورزدن فیلترینگ تلگرام از قبیل فیلترشکن‌ها و پوسته‌های فارسی بوده است. در این گزارش امیر ناظمی رییس سازمان فناوری اطلاعات این نتیجه‌گیری را رد نمی‌کند اما با این حال می‌گوید مرکز ماهر در حال بررسی‌های بیشتر است. از سوی دیگر سجاد بنابی عضو هیات مدیره شرکت زیرساخت می‌گوید در حالی که روی Gateway اینترنت بین‌الملل سرویس DDoS Protection نصب شده اما چنین سرویسی روی شبکه ملی اطلاعات وجود ندارد تا بخش خصوصی بتواند در این حوزه فعال شود.
 
دستگاه‌های ایرانی زامبی شدند
امیر ناظمی معاون وزیر ارتباطات و رییس سازمان فناوری اطلاعات می‌گوید نوع و حجم حملات DDoS نسبت به گذشته در حملات اخیر تغییر کرده است. وی به خبرنگار فناوران گفت: فرضیه نخست در ابتدا این بود که حملات DDoS مثل سایر حملاتی که معمول است، به صورت هدفمند به یک کسب و کار صورت می‌گیرد. این حملات معمولا از یک رنج IP و از خارج از مشور انجام می‌گیرد.
 
وی ادامه داد: اما از آنجا که تعداد IPهای استفاده شده برای حملات DDoS بسیار زیاد است فرضه دوم و ظن قوی‌تر ما این است که بر اثر آلودگی ایجاد شده توسط یک اپلیکیشن، موبایل‌ها و کامپیوترهایی تبدیل به زامبی شده و به کسب و کارها حمله می‌کنند.
 
ناظمی در پاسخ به این سوال که ممکن است این بدافزار به عنوان فیلترشکن یا پوسته‌های فارسی تلگرام به صورت گسترده در موبایل‌ها و کامپیوترها توزیع شده باشند گفت: بله این موضوع یکی از احتمالات است ولی در حال بررسی‌های بیشتر و آماده کردن گزارشات تکمیلی هستیم.
 
رییس سازمان فناوری اطلاعات با بیان این که تاکنون دو کسب و کار به طور جدی مورد حمله قرار گرفته‌اند گفت: حدس زدیم که برخی دیگر از کسب و کارها به عنوان مقاصد بعدی مورد حمله قرار بگیرند و در این خصوص پیشگیری‌های لازم را انجام داده‌ایم.
 
وی در پاسخ به این سوال که چقدر این پیشگیری می‌تواند موثر باشد گفت: به هر حال این موضوعات به شبکه فشار می‌آرود و فعلا کنترل شده است. در هفته‌های گذشته نیز ما برای این که تشنجی در جامعه به وجود نیاید از رسانه‌ای کردن موضوع خودداری کردیم و خوشبختانه اکنون با شرایط بهتری به مقابله با این حملات پرداخته‌ایم.
 
معاون وزیر ارتباطات با بیان این که کسب و کارهایی که هدف قراره گرفتند کسب و کارهای بزرگی بوده و خوشبختانه با روال معمول امنیتی آشنا بودند گفت: هرکدام از کسب و کارهایی که مورد هدف قرار گرفتند فورا موضوع را به مرکز ماهر اعلام کنند. خوشبختانه با هماهنگی‌هایی که تا امروز صورت گرفته، این حملات مدیریت شده و حداقل کاربران چندان متوجه آن نشده‌اند.
 
ناظمی در پاسخ به این سوال که به نظر می‌رسد چه تعداد دستگاه کاربران ایرانی تبدیل به زامبی شده‌اند گفت: تعداد رنج IPها بسیار بالاست و از آنجا که بیشترین IPها متعلق به اپراتورهای موبایل است، به نظر می‌رسد این آلودگی از طریق یک اپلیکیشن روی موبایل صورت گرفته است.
 
بخش خصوصی سرویس DDoS Protection بدهد
سجاد بنابی عضو هیات مدیره شرکت زیرساخت در پاسخ به فناوران درباره این که آیا سرویس‌ DDoS Protection روی اینترنت ایران فعال است توضیح داد: بله براساس قانون روی Gateway اینترنت بین‌الملل این سرویس وجود دارد. علاوه بر این لینک‌هایی وجود دارد که از حفاظت بهتری برخوردارند و در هنگام حمله اخیر نیز با جابه‌جایی لینک‌ها، جلو حملات DDoS از خارج از کشور را گرفتیم.
 
وی با بیان این که در حملات اخیر تنها 24 ساعت حمله از خارج از کشور صورت گرفته و مابقی منشا داخلی دارد گفت: زیرساخت آمادگی این را دارد که روی شبکه ملی اطلاعات نیز سرویس DDoS Protection را راه‌اندازی کند. در داخل کشور عملا یک کسب و کار است و برخی FCPها هم همین الان اینترنت Protected با تعرفه گران‌تر از اینترنت معمولی ارایه می‌دهند. زیرساخت برای این که با بخش خصوصی رقابت نکند وارد حوزه Protection داخلی نشده است.
 
بنابی ادامه داد: اگر حاکمیت تشخیص دهد بخش خصوصی توان فعالیت در حوزه DDoS Protection را ندارد شرکت زیرساخت آماده سرمایه‌گذاری در این حوزه را دارد. ولی تا امروز حاکمیت چنین نظری را نداشته و ما هم تا امروز ابا داشتیم این پیشنهاد را بدهیم، چرا که DDoS Protection تجارت سودآوری است.
 
عضو هیات مدیره شرکت زیرساخت در پاسخ به این سوال که با توجه به این که گفته می‌شود بیشتر حملات از IPهای اپراتورها بوده آیا می‌توان نتیجه گرفت که دستگاه‌های آلوده شده روی شبکه موبایل هستند گفت: بیشتر پهنای باند کشور با توجه به کیفیت اینترنت موبایل، روی این شبکه است و خیلی‌ها در خانه‌شان از سیم‌کارت برای دسترسی به اینترنت استفاده می‌کنند.

هشدار ماهر در خصوص سوء استفاده از UPNP در سطح کشور

مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای (ماهر)از سوء استفاده از سرویس UPNP در سطح کشور خبر داد .
 
به گزارش روابط عمومی و امور بین الملل سازمان فناوری اطلاعات ایران رصد فضای سایبری کشور و گزارش های حاصله نشان داده است که طی چند روز اخیر حملات اینترنتی بر روی پورت 5431 با افزایش شدیدی مواجه بوده است.
 
این پورت در اکثر مواقع بر روی سرویس Universal Plug and Play که به اختصار #‫UPnP نامیده می‌شود، مورد استفاده قرار می‌گیرد. بررسی آدرس‌های مهاجم نشان‌دهنده تنوع زیاد مهاجمین نسبت به حملات شناسایی شده است که بیانگر فراگیری آلودگی تجهیزات در سطح کشور می باشد.
 
بیشترین حملات شناسایی شده از شش کشور هند، چین، آمریکا، کلمبیا، ایران و برزیل هستند. این مسئله می‌تواند بیانگر در معرض حمله قرار گرفتن تجهیزات دارای سرویس UPnP در سطح کشور باشد که لازم است اقدامات پیشگیرانه در اسرع وقت بر روی آنها صورت پذیرد.

هشدار در خصوص خطرفعال بودن TELNET و قابل دسترس بودن آن از طریق اینترنت

‫Telnet یکی از ‫پروتکل‌ های قدیمی و منسوخ شبکه است که برای ارائه یک ارتباط دوطرفه متنی با استفاده از ترمینال‌های مجازی طراحی شده است (به جای استفاده از رابط کنسول). به‌طور پیش فرض، ارتباط بر بستر IP و روی پورت شماره 23 پروتکل TCP برقرار می‌گردد. ابزارهای متنوعی در سیستم عامل‌های مختلف برای برقراری این نوع ارتباط طراحی و ارائه شده‌اند. 
 
به دلیل قدیمی بودن، این پروتکل ذاتاً دارای نقاط ضعف امنیتی جدی می‌باشد. عدم استفاده از روش‌های رمزنگاری، بزرگترین نقطه ضعف امنیتی این پروتکل است. از این‌رو نبایستی از آن برای دسترسی به سیستم‌های راه دور استفاده نمود. مهمترین نقاط ضعف این پروتکل عبارتند از:
•    شنود: به دلیل عدم رمز نمودن اطلاعات تبادل شده، به راحتی زمینه شنود و استخراج اطلاعات مبادله شده همچون کلمات عبور فراهم است. از این‌رو استفاده از این پروتکل به‌جز در محیط‌های آزمایشگاهی ایزوله توصیه نمی‌گردد. 
•    آسیب‌پذیری نسبت به حملات BRUTE FORCE و دیکشنری برای یافتن کلمه عبور
•    آسیب‌پذیری نسبت به حمله منع دسترسی (DOS): به راحتی می‌توان با ارسال حجم زیادی درخواست، مانع از اتصال کاربر اصلی به ماشین سرویس‌دهنده شد. 
•    امکان استخراج اطلاعات: اطلاعات نمایش داده شده در بنر می‌تواند منجر به افشای اطلاعاتی درخصوص سخت‌افزار و نرم‌افزار گردد. این امر می‌تواند روند سوء‌استفاه از آسیب‌پذیری‌های موجود را تسریع نماید. 
 
ماشین‌هایی که سرویس Telnet بر روی آن‌ها فعال بوده و از طریق شبکه اینترنت قابل دسترسی هستند، بسیار مورد توجه نفوذگران بوده و به راحتی قابل تسخیر هستند. پس از تسخیر، ماشین قربانی می‌تواند در سناریوهای حمله مختلف همچون DDOS و غیره مورد استفاده قرار گیرد. 
 
بررسی‌های انجام گرفته توسط مرکز ماهر نشان می‌دهد که سرویس Telnet بر روی تعداد زیادی از آدرس‌های IP قابل دسترس از طریق اینترنت آن مجموعه فعال است. اکیداً توصیه می‌گردد که راهبران شبکه مطمئن شوند که بر روی هیچ یک از آدرس‌های Valid IP تحت کنترل آن‌ها، سرویس Telnet فعال نمی‌باشد. درصورت لزوم استفاده از ارتباط راه دور متنی، بایستی از سرویس SSH استفاده نمایند که به‌طور امن پیکربندی شده است. 

دوروف دلیل قطعی تلگرام را اعلام کرد: داغ شدن بیش از حد سرورها

2680008.jpg
پاول دوروف در توئیتی اعلام کرد دلایل اصلی قطعی تلگرام یک حمله بزرگ DDoS و داغ شدن بیش از حد یکی از سرورهای تلگرام است.
به گزارش مهر،  به دنبال قطع شدن دسترسی کاربران به پیامرسان تلگرام پاول دوروف در توئیتی دلیل قطعی تلگرام را اعلام کرد.
 
وی در این پیام نوشت: دلایل اصلی اختلال درتلگرام عبارتند از: «۱- یک حمله بزرگ DDoS، ما نمی توانیم  این تعداد زیاد IP را مسدود کنیم.» «۲-داغ شدن بیش از حد یکی از سرورهای تلگرام»
 
دوروف در این پیام یادآور شد: ما از این بابت متاسف هستیم.
 
حمله DDoS یا Distributed Denial of Service به معنی سرازیر کردن تقاضاهای زیاد به یک سرور و استفاده بیش از حد از منابع (پردازنده، پایگاه داده، پهنای باند، حافظه و ...) به نحوی است که به دلیل حجم بالای پردازش سرویس دهی عادی آن به کاربرانش دچار اختلال شده یا از دسترس خارج می شود.

حمله گروه APT به سرور شرکت‌های بخش صنعتی و انرژی

به تازگی یک گروه APT با عنوان Energetic Bear/Crouching Yeti سرورهای شرکت‌های مختلف بخش صنعت و انرژی را مورد هدف قرار داده است. این گروه که از سال ۲۰۱۰ فعالیت می‌کند، شرکت‌های مختلفی در سراسر جهان را مورد حمله قرار داده است.
 
به گزارش ایسنا، تمرکز بیشتر حملات این گروه روی کشورهای اروپایی و آمریکا بوده است. همچنین، در سال ۲۰۱۶ و ۲۰۱۷ تعداد حملات این گروه روی سرورهای کشور ترکیه رشد قابل توجهی داشته است.
 
اما رویکردهای اصلی این گروه شامل ارسال ایمیل‌های فیشینگ حاوی اسناد مخرب و آلوده‌سازی سرورهای مختلف است. این گروه از از سرورهای آلوده به منظور استقرار ابزارهای گوناگون و در برخی موارد جهت اجرای حملات waterhole استفاده می‌کنند. waterhole به حمله‌ای گفته می‌شود که مهاجم سایت‌هایی که فرد یا گروه‌های قربانی بطور روزمره بازدید می‌کند را با بدافزار آلوده می‌کند.
 
باتوجه به گزارش کسپرسکی، قربانیان حملاتی که اخیرا صورت گرفته است فقط محدود به شرکت‌های صنعتی نمی‌شود و روسیه، اکراین، انگلستان، آلمان، ترکیه، یونان و آمریکا را شامل می‌شود. به عنوان مثال نوع سرورهایی که در کشور روسیه مورد هدف قرار گرفته است شامل وب‌سایت‌های سیاسی، بنگاه‌های املاک، باشگاه فوتبال و ...  است.
 
بر اساس  اطلاعات سایت افتا، نکته قابل توجه در مورد این حملات این است که تمامی سرورهایی که هدف حمله waterhole قرار گرفته‌اند با الگو یکسانی آلوده شده‌اند. در این الگو، یک لینک در یک صفحه وب و یا فایل جاوا اسکریپت تزریق شده است که حاوی آدرس فایل بصورت file://IP/filename.png است که به منظور ارسال یک درخواست برای یک فایل تصویری است و موجب می‌شود تا کاربر از طریق پروتکل SMB به یک سرور کنترل از راه دور متصل شود.
 
بنابر گزارش کسپرسکی، در برخی از موارد مهاجمین از سرورهای آلوده جهت حمله به سایر منابع استفاده می‌کنند که  برای این امر پس از دسترسی به سرورها، لازم است ابزارهای مورد نیاز خود را نصب شوند.
 
همچنین باتوجه به تحلیل‌های انجام شده می‌توان دریافت که مهاجمین از ابزارهای در دسترس عموم و متن باز استفاده می‌کنند. همچنین، مهاجمان در اکثر سرورهای هدف به دنبال یافتن آسیب‌پذیری‌ها و سرقت اطلاعات احراز هویت کاربران هستند.